《信息安全技术基础》PPT课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《《信息安全技术基础》PPT课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术基础 信息 安全技术 基础 PPT 课件
- 资源描述:
-
1、第八章 信息安全技术基础8.1 信息安全概述8.1 8.1 信息安全问题概述信息安全问题概述8.2 8.2 信息安全技术信息安全技术8.2.1 8.2.1 加密与认证技术加密与认证技术8.2.2 8.2.2 防火墙技术防火墙技术8.2.3 8.2.3 网络防攻击与入侵检测技术网络防攻击与入侵检测技术8.2.4 8.2.4 文件备份文件备份与恢复技术与恢复技术8.2.5 8.2.5 计算机病毒防范技术计算机病毒防范技术8.3 8.3 网络道德及信息安全法规网络道德及信息安全法规8.3.1 8.3.1 网络道德网络道德8.3.2 8.3.2 信息安全法规信息安全法规2022-4-20计算机基础知识
2、28.1.1 8.1.1 面临的安全威胁面临的安全威胁8.1.2 8.1.2 信息安全的特征信息安全的特征8.1.3 8.1.3 信息安全的内容信息安全的内容8.1.4 8.1.4 信息安全的机制信息安全的机制3在我们的生活中,经常可以听到下面的报道:在我们的生活中,经常可以听到下面的报道:q XX网站受到黑客攻击网站受到黑客攻击q XX计算机系统受到攻击,造成客户数据丢失计算机系统受到攻击,造成客户数据丢失q 目前又出现目前又出现XX计算机病毒,已扩散到各大洲计算机病毒,已扩散到各大洲q 计算机网络在带给我们便利的同时已经体现出计算机网络在带给我们便利的同时已经体现出了它的脆弱性了它的脆弱性
3、8.1 信息安全概述8.1.1 8.1.1 面临的安全威胁面临的安全威胁 现代信息系统及网络通信系统面临的安全威胁现代信息系统及网络通信系统面临的安全威胁 截获截获 中断中断 篡改篡改 伪造伪造 2022-4-20计算机基础知识4截获截获篡改篡改伪造伪造中断中断被动攻击被动攻击主主 动动 攻攻 击击目的站目的站源站源站源站源站源站源站源站源站目的站目的站目的站目的站目的站目的站对网络的被动攻击和主动攻击对网络的被动攻击和主动攻击5搭线窃听信息Internet 截获是指一个非授权方介入系统,使得信息在传输过程中泄露或被窃听,它破坏了信息的保密性。非授权方可以是一个人,也可以是一个程序。截获攻击主
4、要包括: 利用电磁泄露或搭线窃听等方式可截获机密信息,通过对信息流向、流量、通信频度和长度等参数的分析,推测出有用信息,如用户口令、账号等。 文件或程序的不正当复制。n中断是使正在使用的信息系统毁坏或不能使用,即破坏了信息的可用性。中断攻击主要包括: 使合法用户不能访问网络的资源。 使有严格时间要求的服务不能及时得到响应。 物理破坏网络系统和设备组件使网络不可用,或者破坏网络结构使之瘫痪等。例如,硬盘等硬件的破坏、通信线路的切断、文件管理系统的瘫痪等。 篡改 n篡改是以非法手段窃得对信息的管理权,通过未授权的创建、修改、删除和重放等操作,使信息的完整性受到破坏。篡改攻击主要包括: 改变数据文件
5、,如修改信件内容等。 改变程序,使之不能正确运行。 伪造 n非授权方将伪造的信息插入到信息中,破坏信息的真实性。例如,在网络中插入假信件,或者在文件中追加记录等。 9物理风险 系统风险信息风险应用风险其它风险网络的风险管理风险 Internet8.1 信息安全概述8.1.2 8.1.2 信息安全的特征信息安全的特征 可用性可用性 机密性机密性 真实性真实性 完整性完整性 可控性可控性 抗可否认性抗可否认性 可存活性可存活性 2022-4-20计算机基础知识108.1 信息安全概述8.1.3 8.1.3 信息安全的内容信息安全的内容 实体安全实体安全 运行安全运行安全 数据安全数据安全 管理安全
6、管理安全 一、实体安全一、实体安全问题问题 环境安全:环境安全:信息设备大多属易碎品,不能受重压信息设备大多属易碎品,不能受重压或强烈的震动,更不能受强力冲击,各种自然灾害或强烈的震动,更不能受强力冲击,各种自然灾害(如地震、风暴等)对设备安全构成了严重的威胁。(如地震、风暴等)对设备安全构成了严重的威胁。 设备安全:设备安全:主要包括:设备的机能失常、电源故主要包括:设备的机能失常、电源故障和电磁泄漏。障和电磁泄漏。 媒体安全媒体安全 :主要是搭线窃听和电磁泄漏。主要是搭线窃听和电磁泄漏。实体安全实体安全策略策略2022-4-20计算机基础知识118.1 信息安全概述实体安全实体安全策略策略
7、实体安全策略的目的是实体安全策略的目的是保护保护计算机系统、网络服务计算机系统、网络服务器等硬件实体和通信线路器等硬件实体和通信线路免受免受自然灾害、人为破坏和自然灾害、人为破坏和搭线攻击,抑制和防止电磁泄漏,搭线攻击,抑制和防止电磁泄漏,建立建立完备的安全管完备的安全管理制度。理制度。二、二、系统系统运行安全运行安全问题问题 操作系统安全:操作系统安全:问题主要有:未进行系统相关安全问题主要有:未进行系统相关安全配置、软件的漏洞和配置、软件的漏洞和“后门后门”、协议的安全漏洞。、协议的安全漏洞。应用系统安全应用系统安全 :涉及资源共享、电子邮件系统、涉及资源共享、电子邮件系统、病毒侵害等很多
8、方面。病毒侵害等很多方面。2022-4-20计算机基础知识128.1 信息安全概述系统系统运行安全运行安全策略策略运行安全运行安全策略策略主要涉及:访问控制策略、防黑客的主要涉及:访问控制策略、防黑客的恶意攻击、隔离控制策略、入侵检测和病毒防护。恶意攻击、隔离控制策略、入侵检测和病毒防护。三、数据安全三、数据安全数据安全需求数据安全需求 :就是保证数据的真实性、机密性、就是保证数据的真实性、机密性、完整性和抗否认性。完整性和抗否认性。数据安全策略:数据安全策略:最主要的数据安全策略就是采用数最主要的数据安全策略就是采用数据加密技术、数字签名技术和身份认证技术。据加密技术、数字签名技术和身份认证
9、技术。2022-4-20计算机基础知识138.1 信息安全概述四、管理安全四、管理安全安全管理问题安全管理问题 :安全和管理是分不开的,即便安全和管理是分不开的,即便有好的安全设备和系统,也应该有好的安全管理方法有好的安全设备和系统,也应该有好的安全管理方法并贯彻实施。管理的缺陷可能造成系统内部人员泄露并贯彻实施。管理的缺陷可能造成系统内部人员泄露机密,也可能造成外部人员通过非法手段截获而导致机密,也可能造成外部人员通过非法手段截获而导致机密信息的泄漏。机密信息的泄漏。安全管理策略:安全管理策略:确定安全管理等级和安全管理确定安全管理等级和安全管理范围,制定有关操作使用规程和人员出入机房管理制
10、范围,制定有关操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施等。度,制定网络系统的维护制度和应急措施等。2022-4-20计算机基础知识148.1 信息安全概述8.1.4 8.1.4 信息安全的机制信息安全的机制 身份确认机制身份确认机制 (收发信息者身份确认)(收发信息者身份确认)访问控制机制访问控制机制 (合法用户进行访问控制管理)(合法用户进行访问控制管理)数据加密机制数据加密机制 (数据加密处理)(数据加密处理)病毒防范机制病毒防范机制 (增加防范病毒软件)(增加防范病毒软件)信息监控机制信息监控机制 (防止泄密)(防止泄密)安全网关机制安全网关机制 (防火墙)(
11、防火墙)安全审计机制安全审计机制 (定期检查)(定期检查)2022-4-20计算机基础知识158.2 信息安全技术 8.2.1 8.2.1 加密与认证技术加密与认证技术 对称密钥密码体系对称密钥密码体系 非对称密钥密码体系非对称密钥密码体系 身份认证身份认证数字签名技术数字签名技术 2022-4-20计算机基础知识1617密文密文网络信道网络信道明文明文明文明文q三要素:信息明文、密钥、信息密文三要素:信息明文、密钥、信息密文加密密钥加密密钥信息窃取信息窃取者者解密密钥解密密钥加密算法加密算法解密算法解密算法18 数据加密数据加密(Encryption)是指将明文信息是指将明文信息(Plain
12、text)采取数学方法进行函数转换成密文采取数学方法进行函数转换成密文(Ciphertext),只有,只有特定接受方才能将其解密特定接受方才能将其解密(Decryption)还原成明文的过还原成明文的过程。程。 q 明文明文(Plaintext) : 加密前的原始信息;加密前的原始信息;q 密文密文(Ciphertext) :明文被加密后的信息;:明文被加密后的信息;q 密钥密钥(Key): 控制加密算法和解密算法得以实控制加密算法和解密算法得以实现的关键信息,分为加密密钥和解密密钥;现的关键信息,分为加密密钥和解密密钥;q 加密加密(Encryption):将明文通过数学算法转换:将明文通过
13、数学算法转换成密文的过程;成密文的过程;q 解密解密(Decryption):将密文还原成明文的过程。:将密文还原成明文的过程。19加密算法加密算法解密算法解密算法密钥密钥网络信道网络信道明文明文明文明文密文密文加密密钥加密密钥解密密钥解密密钥两者相等两者相等20加密算法加密算法解密算法解密算法公开密钥公开密钥网络信道网络信道明文明文明文明文密文密文私有密钥私有密钥公钥公钥私钥私钥 公钥公钥私钥私钥不可相互推导不可相互推导不相等不相等21对称密钥加密算法对称密钥加密算法对称密钥解密算法对称密钥解密算法对称密钥对称密钥网络信道网络信道明文明文明文明文密文密文 混合加密系统既能够安混合加密系统既能
14、够安全地交换对称密钥,又全地交换对称密钥,又能够克服非对称加密算能够克服非对称加密算法效率低的缺陷!法效率低的缺陷!非对称密钥加密算法非对称密钥加密算法非对称密钥解密算法非对称密钥解密算法对称密钥对称密钥公开密钥公开密钥私有密钥私有密钥 混合加密系统是对称密钥加密技术和非对称密钥加密混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合技术的结合22Is that Alice?Hi, this is Alice. Please send me data.Internet 在开放的网络环境中,服在开放的网络环境中,服务提供者需要通过身份鉴别技务提供者需要通过身份鉴别技术判断提出服务申请的网络实
15、术判断提出服务申请的网络实体是否拥有其所声称的身份。体是否拥有其所声称的身份。23q 基于用户名和密码的身份鉴别基于用户名和密码的身份鉴别q 基于对称密钥密码体制的身份鉴别技术基于对称密钥密码体制的身份鉴别技术q 基于基于KDC(密钥分配中心)的身份鉴别技术(密钥分配中心)的身份鉴别技术q 基于非对称密钥密码体制的身份鉴别技术基于非对称密钥密码体制的身份鉴别技术q 基于证书的身份鉴别技术基于证书的身份鉴别技术24Yes. I have a user named “Alice” whose password is “byebye”. I can send him data.Hi, this is
16、 Alice. My User Id is “Alice”, my password is “byebye”. Please send me data.Internet 25This is Bob. Are you Alice? Hi, this is Alice. Are you Bob ? InternetA 在这种技术中,鉴别双方共享一个对称密钥在这种技术中,鉴别双方共享一个对称密钥KAB,该对称密钥在鉴别之前已经协商好(不通过网络)。该对称密钥在鉴别之前已经协商好(不通过网络)。RBKAB(RB)RAKAB(RA)AliceBob26This is Bob. Are you Alice
17、? Hi, this is Alice. Are you Bob ? InternetA, KA(B,KS) 基于基于KDC(Key Distribution Center,密钥分配中,密钥分配中心)的身份鉴别技术克服了基于对称密钥的身份鉴别技心)的身份鉴别技术克服了基于对称密钥的身份鉴别技术中的密钥管理的困难。在这种技术中,参与鉴别的实术中的密钥管理的困难。在这种技术中,参与鉴别的实体只与体只与KDC共享一个对称密钥,鉴别通过共享一个对称密钥,鉴别通过KDC来完成。来完成。KB(A,KS)AliceBobKDC27 在这种技术中,双方均用对方的公开密钥进行加密在这种技术中,双方均用对方的公开
18、密钥进行加密和传输。和传输。This is Bob. Are you Alice? Hi, this is Alice. Are you Bob ? InternetEPKB(A,RA)EPKA(RA,RB,KS)KS(RB)AliceBob28 为解决非对称密钥身份鉴别技术中存在的为解决非对称密钥身份鉴别技术中存在的“公开公开密钥真实性密钥真实性”的问题,可采用证书对实体的公开密钥的问题,可采用证书对实体的公开密钥的真实性进行保证。的真实性进行保证。This is Bob. Are you Alice? Hi, this is Alice. Are you Bob ? InternetPKB
19、(A,KS), CAPKA(B,KS)AliceBob29 数字签名(数字签名(digital signature)技术通过某种加)技术通过某种加密算法,在一条地址消息的尾部添加一个字符串,而密算法,在一条地址消息的尾部添加一个字符串,而收信人可以根据这个字符串验明发信人的身份,并可收信人可以根据这个字符串验明发信人的身份,并可进行数据完整性检查。进行数据完整性检查。30非对称加密算法非对称加密算法非对称解密算法非对称解密算法Alice的私有密钥的私有密钥网络信道网络信道合同合同Alice的公开密钥的公开密钥哈希算法哈希算法标记标记标记标记-2合同合同哈希算法哈希算法比较比较标记标记-1如果两
20、标记如果两标记相同,则符相同,则符合上述确认合上述确认要求。要求。AliceBob假定假定Alice需要传送一份合同给需要传送一份合同给Bob。Bob需要确认:需要确认:q 合同的确是合同的确是Alice发送的发送的q 合同在传输途中未被修改合同在传输途中未被修改31q 唯一地确定签名人的身份;唯一地确定签名人的身份;q 对签名后信件的内容对签名后信件的内容 是否又发生变化进行验证;是否又发生变化进行验证;q 发信人无法对信件的内容进行抵赖。发信人无法对信件的内容进行抵赖。 当我们对签名人同公开密钥的对应关当我们对签名人同公开密钥的对应关系产生疑问时,我们需要第三方颁证机构系产生疑问时,我们需
21、要第三方颁证机构(CA: Certificate Authorities)的帮助。)的帮助。8.2 信息安全技术 8.2.2 8.2.2 防火墙技术防火墙技术 一、防火墙的主要功能一、防火墙的主要功能 检查所有从外部网络进入内部网络的数据包。检查所有从外部网络进入内部网络的数据包。检查所有从内部网络流出到外部网络的数据包。检查所有从内部网络流出到外部网络的数据包。 执行安全策略,限制所有不符合安全策略要求的执行安全策略,限制所有不符合安全策略要求的数据包通过。数据包通过。 具有防攻击能力,保证自身的安全性。具有防攻击能力,保证自身的安全性。二、防火墙的基本准则二、防火墙的基本准则 一切未被允许
展开阅读全文